第三章信息认证技术第三章信息认证技术 n n n

第三章信息认证技术

第三章信息认证技术 n n n 3. 1 3. 2 3. 3 3. 4 3. 5 Hash函数和消息完整性数字签名技术身份识别技术认证的具体实现公钥基础设施

认证的目的 n n n 认证的目的有两个方面：一是验证信息的发送者是合法的，而不是冒充的，即实体认证，包括信源、信宿的认证和识别；二是验证消息的完整性，验证数据在传输和存储过程中是否被篡改、重放或延迟等。

3. 1 Hash函数和消息完整性 n n 本节提示： 3. 1. 1基本概念 3. 1. 2常见的Hash函数 3. 1. 3消息认证码

基本概念 u Ø Ø Ø u Ø Hash函数也称为杂凑函数或散列函数，输入为一可变长度x，返回一固定长度串，该串被称为输入x的Hash值（消息摘要）还有形象的说法是数字指纹。因为Hash函数是多对一的函数，所以一定将某些不同的输入变化成相同的输出。要求给定一个Hash值，求其逆难，计算Hash值容易也称Hash函数为单向Hash函数。

基本概念 n n n Hash函数一般满足以下几个基本需求：（1）输入x为任意长度；（2）输出数据长度固定；（3）容易计算，给定任何x，容易计算出x的Hash值H(x)；（4）单向函数：即给出一个Hash值，很难反向计算出原始输入；（5）唯一性：即难以找到两个不同的输入会得到相同的 Hash输出值（在计算上是不可行的）。

Hash函数的其他性质 u u u n n Hash值的长度由算法的类型决定，与输入的消息大小无关，一般为 128或者160位。常用的单向Hash算法有MDS、SHA-l等。 Hash函数的一个主要功能就是为了实现数据完整性的安全需要。 Hash函数可以按照其是否有密钥控制分为两类：一类有密钥控制，为密码Hash函数；用于消息认证码MAC 一类无密钥控制，为一般Hash函数。关于Hash函数的安全性设计的理论主要有两点：一个是函数的单向性，二是函数影射的随机性。

攻击Hash函数的典型方法 u u u 生日攻击的基本观点来自于生日问题：在一个教室里最少有多少学生时，可使得在这个教室里至少有两个学生的生日在同一天的概率不小于50%？这个问题的答案是 23。这种攻击不涉及Hash算法的结构，可用于攻击任何Hash算法。目前为止，能抗击生日攻击的Hash值至少要达到 128 bit。中途相遇攻击这是一种选择明文/密文的攻击，主要是针对迭代和级连的分组密码体制设计的Hash算法。

攻击Hash函数的典型方法 n n n 除生日攻击法、中间相遇攻击外，对一些类型的Hash函数还有一些特殊的攻击方法，例如，修正分组攻击和差分分析法等。山东大学王小云教授等于2004年 8月在美国加州召开的国际密码大会 (Crypto’ 2004)上所做的Hash函数研究报告中指出，她们已成功破译了 MD 4、MD 5、HAVAL-128、RIPEMD-128等Hash算法。 2006年，王小云宣布了攻破SHA-1的消息。她的研究成果表明了从理论上讲电子签名可以伪造，必须及时添加限制条件，或者重新选用更为安全的密码标准，以保证电子商务的安全。

完整性检验一般方法 n n 消息完整性检验的一般机制如图所示。存储、传输文件，需同时存储或发送该文件的数字指纹；验证时，对得到的文件重新产生其数字指纹；再与原数字指纹对比，如一致，文件是完整。否则，不完整。

消息认证码 n n n u u u n 消息认证具有两层含义：一是检验消息的来源是真实的，即对消息的发送者的身份进行认证；二是检验消息是完整的，即验证消息在传送或存储过程中未被篡改、删除或插入等。当需要进行消息认证时，仅有消息作为输入是不够的，需要加入密钥k，这就是消息认证的原理。能否认证，关键在于信息发送者或信息提供者是否拥有密钥k。消息认证码（MAC，Messages Authentication Codes），是与密钥相关的的单向 Hash函数，也称为消息鉴别码或是消息校验和。 MAC与单向Hash函数一样，但是还包括一个密钥。 MAC=CK(M)。

消息认证码 n n 消息认证码(Message Authentication Code，MAC)通常表示为MAC=CK(M) M是可变长的消息，K是收发双方共享的密钥，函数值 CK(M)是定长的认证码，也称为密码校验和。 MAC就是带密钥的消息摘要函数，其实就是一种带密钥的数字指纹，它与不带密钥的数字指纹是有本质区别的。将单向Hash函数变成MAC的一个简单的办法是用对称算法加密Hash值。相反将MAC变成单向Hash函数则只需将密钥公开。

消息认证码的实现

消息认证码 1. 消息认证 n 认证码被附加到消息后以M||MAC方式一并发送，收方通过重新计算MAC以实现对M的认证。如图所示。 n n 假定收、发双方共享密钥k，如果收到的MAC与计算得出的MAC一致，那么可以得出如下结论： ①完整性验证: 接收方确信消息M未被篡改。 ②消息源验证: 接收方确信消息来自所声称的发送者，因为没有其他人知道这个共享密钥，其他人也就不可能为消息M附加合适的MAC。

消息认证码 n n 2. 消息认证与保密在(1)中，消息以明文方式传送，这一过程只提供认证而不具备保密性。如图所示提供一种即加密又认证的方式，发送方发送 Ek 2[M||Ck 1(M)]。该方式除具备(1)的功能外，还具有保密性。

消息认证码 n n 3. 密文认证改变(2)中加密的位置，得到另外一种消息保密与认证方式。先对消息进行加密，然后再对密文计算MAC，传送 Ek 2(M)||Ck 1(Ek 2(M))给接收方。接收方先对收到的密文进行认证，认证成功后，再解密。

3. 2 数字签名技术 n 数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证及电子商务系统中具有重要作用。数字签名是实现认证的重要具。

数字签名技术 n 提供数据来源的真实性、数据内容的完整性、签名者的不可否认性以及匿名性等信息安全相关的服务和保障。 n 用于网络通信的安全以及各种用途的电子交易系统（如电子商务、电子政务、电子出版、网络学习、远程医疗等）中。

数字签名的基本原理 n 概念： n 数字签名是对以数字形式存储的消息进行某种处理，产生一种类似于传统手书签名功效的信息处理过程。 n 它通常将某个算法作用于需要签名的消息，生成一种带有操作者身份信息的编码。

示例：Alice和Bob进行通信，并使用消息认证码提供数据完整性保护：情况一：Alice向Bob发送消息并附加了用双方共享密钥生成的消息认证码，但随后Alice否认曾经发送了这条消息；情况二：Bob有能力伪造一个消息及认证码并声称此消息来自Alice。

分析： n n 如果通信的过程没有第三方参与的话，这样的局面是难以仲裁的。因此，安全的通信仅有消息完整性认证是不够的，还需要有能够防止通信双方相互作弊的安全机制。数字签名

n 至少满足的三个基本要求： n 1）签名者任何时候都无法否认自己曾经签发的数字签名； n 2）收信者能够验证和确认收到的数字签名，但任何人都无法伪造别人的数字签名； n 3）当各方对数字签名的真伪产生争议时，通过仲裁机构（可信的第三方）进行裁决。

数字签名与手写签名的差异 n n 1）手写签名与被签文件物理上是一个整体，不可分离； 2）手书签名通过物理比对来判断真伪，需要一定的技艺甚至需要专门人员，机构来执行； 3）手书签名会因人而异，复制品易于原件分开。 n n n 1）数字签名与被签名的消息是可以相互分离的比特串； 2）数字签名通过一个严密的公开的算法来验证签名的真伪； 3）数字签名的拷贝与其原件完全相同的二进制比特串，无法区分，需防止签名重复使用。

总结 n 签名者必须向验证者提供足够多的非保密信息，以便验证者能够确认签名者的数字签名； n 签名者不能泄露任何用于产生数字签名的机密信息，以防止他人伪造他的数字签名。因此，签名算法必须能够提供签名者用于签名的机密信息与验证者用于验证签名的公开信息。

数字签名体制 n 组成部分： n 签名算法 n 用于对消息产生数字签名，通常受一个签名密钥的控制签名算法或者签名密钥是保密的，有签名者掌握。验证算法用于对消息的数字签名进行验证，通常受一个验证密钥的控制，验证算法和验证密钥应该公开。

数字签名体制 n 代表消息空间，它是某个字母表中所有串的集合； n 代表签名空间，它是所有可能的数字签名构成的集合； n 代表密钥空间，它是所有可能的签名密钥和验证密钥对构成的集合。

数字签名的特性 n 两大方面： —功能特性 n —安全特性 n 指为了使数字签名能够实现需要的的功能要求而应具备的一些特性。确保提供的的功能是安全的，能够满足安全需求，实现预期的安全保障。

功能特性 n n 1）依赖性 2）独特性 n 3）可验证性 n 4）不可伪造性 n 5）可用性一个数字签名与被签消息是紧密相关，不可分割的，离开被签消息，签名不再具有任何效用。数字签名必须是根据签名者拥有的独特消息来产生的，包含了能够代表签名者特有身份的关键信息。通过验证算法能够准切地验证一个数字签名的真伪。伪造一个签名者的数字签名不仅在计算上不可行，而且希望通过重用或者拼接的方法伪造签名也是行不通的。数字签名的生成，验证和识别的处理过程相对简单，能够在普通的设备上快速完成，甚至可以在线处理，签名的结果可以存储和备份。

安全特性 n 1）单向性 n 2）无碰撞性 n 3）无关性 n 对于给定的数字签名算法，签名者使用自己的签名密钥sk对消息m进行数字签名是计算上容易的，但给定一个消息m和它的一个数字签名s，希望推导出签名者的签名密钥sk是计算上不可行的。对于两个不同消息，在相同的签名密钥下的数字签名相等的概率是可以忽略的。对于两个不同的消息，从某个签名者对其中一个消息的签名推导出对另一个消息的签名是不可能的。优点：从根本上消除了成功伪造数字签名的可能性。

基于公钥密码的数字签名体制

基于公钥密码的加密和签名体制注意：先签名，后加密的顺序不能颠倒

数字签名的实现方法简单数字签名

数字签名的分类 n 直接数字签名体制 n 可仲裁的数字签名体制

分类比较名称具体实现优点缺点直接数字签名体制发送者先对要签名的消息进行 Hash处理，再用私钥对得到的 Hash码进行加密处理。思想简单可行，且易于实现。可仲裁的数字签名体制发送方先对消息执行数字签名操作，再将数字签名和被签消息一起发送给仲裁者，仲裁者对其进行验证。通过验证的签名给签发一个证据证明它的真实性，最后消息，数字签名以及签名真实性一起发给接受者。更复杂，仲裁者签名者没有作弊有可能成为系统的机会，数字签性能的瓶颈，仲名不可能被伪造。裁者必须是公正可信的中立者。它的有效性严格依赖于签名者私有密钥的安全性。

常用的数字签名体制 n n n 用非对称加密算法实现的数字签名技术最常用的是RSA和DSS签名, 下面分别做简单介绍： 1. RSA签名 2. DSS签名

RSA数字签名 n n RSA签名体制是Diffie和Hellman 提出数字签名思想后的第一个数字签名体制，它是由Rivest、 Shamir和Adleman三人共同完成的。该签名体制来源于RSA公钥密码体制的思想，将RSA公钥体制按照数字签名的方式运用。

RSA数字签名体制的消息空间和签名空间都是Zn，分别对应于RSA公钥密码体制的明文空间和密文空间。

RSA数字签名

RSA数字签名的安全问题 n 对RSA数字签名算法进行选择密文攻击可以实现三个目的，即： n 消息破译 n 骗取仲裁签名 n 骗取用户签名

消息破译

骗取仲裁签名

攻击者骗取仲裁签名

骗取用户签名主要思想当攻击者希望某合法用户对一个消息m进行签名但该签名者可能不愿意为其签名时： • 将m分解成两个（多个）更能迷惑合法用户的消息m 1 和m 2，且满足m=m 1×m 2； • 让合法用户对m 1和m 2分别签名；攻击者最终获得该合法用户对消息m的签名。

数字签名标准DSS n n 历史背景数字签名标准DSS（Digital Signature Standard）是由美国国家标准技术协会NIST于1991年 8月公布，并于1994 年 12月1日正式生效的一项美国联邦信息处理标准。

数字签名标准DSS n 实质 n n ——是El. Gamal签名体制但它运行在较大有限域的一个小的素数阶子群上，并且在这个有限域上，离散对数问题是困难的。

数字签名标准DSS n 实现方法 n 在对消息进行数字签名之前，DSS先使用安全的Hash算法SHA-1对消息进行Hash处理，然后再对所得的消息摘要签名。

DSS数字签名算法 n DSS数字签名标准使用的算法称为数字签名算法 DSA（Digital Signature Algorithm），它是在 El. Gamal和Schnorr两个方案基础上设计出来的。

DSA的系统参数

DSA的系统参数这里的使用的是安全的 Hash算法SHA-1

DSA数字签名算法签名时

DSA数字签名算法验证时

DSA数字签名算法 n 这是因为，如果是消息的有效签名，那么

DSA数字签名算法基本框图

DSA数字签名算法例

DSA数字签名算法签名时 n 假如该签名者要对一个消息摘要为SHA-1（m） =132的消息m 签名，并且签名者选择的秘密随机数为k=79，则需要计算：因此，(99, 57)是消息m的签名

DSA数字签名算法验证时 n 计算： n 所以: n 说明以上签名是有效的。

3. 3 u u 身份识别技术基本概念几种常见的身份识别系统 p 通行字(口令)认证系统 p 个人特征的身份证明基于零知识证明的识别技术智能卡在个人身份证明中的作用

3. 3 身份识别技术 3. 3. 1 基本概念 n 3. 3. 2 身份认证系统的分类 n 3. 3. 3 常见的身份认证技术 n

基本概念 n 身份认证是指定用户向系统出示自己身份的证明过程，通常是获得系统服务所必需的第一道关卡。 n 现在竞争激烈的现实社会中，为了获得非法利益，各种身份欺诈活动很频繁，因此在很多情况下我们需要证明个人的身份。 n 通信和数据系统的安全性也取决于能否验证用户或终端的个人身份。

三种方式判定 u 一是根据你所知道的信息来证明你的身份（what you know）； u 二是根据你所拥有的东西来证明你的身份 (what you have) ； u 三是直接根据你独一无二的身体特征来证明你的身份(who you are) 。

常用身份识别技术 u 一类是基于密码技术的各种电子ID身份识别技术： p p u 基于这种技术的数字证书和密码都存在被人盗窃、拷贝、监听获取的可能性。解决办法：数字证书的载体可以采用特殊的、不易获取或复制的物理载体，如指纹、虹膜等。另一类是基于生物特征识别的识别技术。

电子ID身份识别技术的常用方式 u 基于密码技术的各种电子ID身份识别技术的常用方式主要有两种： u 一种是使用通行字的方式 u u 通行字是使时最广泛的一种身份识别方式，比如中国古代调兵用的虎符和现代通信网的拔入协议等。另一种是使用持证的方式 u 持证（token）是一种个人持有物，它的作用类似于钥匙，用于启动电子设备。

通行字技术 u 通行字是广泛的一种身份识别方式，比如中国古代调兵用的虎符和现代通信网的拔入协议等。通行字一般由数字、字母、特殊字符、控制字符等组成的长为 5 --8的字符串。 u 其选择规则为: 易记，难于被别人猜中或发现，抗分析能力强，还需要考虑它的选择方法、使用期、长度、分配、存储和管理等。 u 在网络环境下通行字方式识别的办法是: 识别者A先输入他的通行字，然后计算机确认它的正确性。

持证（Token） n 一种嵌有磁条的塑料卡，磁条上记录有用于机器识别的个人信息。 n 这类卡通常和个人识别号(PIN) 一起使用 n 这类卡易于制造，而且磁条上记录的数据也易于转录，因此要设法防止仿制。 n 为了提高磁卡的安全性，人们建议使用一种被称作“智能卡”的磁卡来代替普通的磁卡，智能卡与普通的磁卡的主要区别在于智能卡带有智能化的微处理器和存储器。

安全的身份识别协议要求 n 一个安全的身份识别协议至少应满足以下两个条件： u 识别者A能向验证者B证明他的确是A。 u 在识别者A向验证者B证明他的身份后 u u 验证者B没有获得任何有用的信息 B不能模仿A向第三方证明他是A。

缺点 n 鉴于基于密码技术的各种电子ID身份识别技术如数字证书和密码都存在被人盗窃、拷贝、监听获取的可能性。 n 一种有效的解决办法是：数字证书的载体可以采用特殊的、不易获取或复制的物理载体，用指纹、虹膜等安全性很高的生物特征取代安全性较差的口令。 n 电子化生物唯一识别信息(如指纹、掌纹、声纹、视网膜、脸形等)缺点：代价高、准确性低、存储空间要求高和传输效率低。

身份认证系统的分类 n 1. 2. 3. 身份认证系统分类：条件安全认证系统与无条件安全认证系统有保密功能的认证系统与无保密功能的认证系统有仲裁人认证系统与无仲裁人认证系统

条件安全认证系统与无条件安全认证系统 u u n 无条件安全性又称理论安全性，它与敌方的计算能力和拥有的资源无关，即敌方破译认证系统所作的任何努力都不会比随机选择碰运气更优。条件安全性又称实际安全性，即认证系统的安全性是根据破译该系统所需的计算量来评价的，如果破译一个系统在理论上是可行的，但依赖现有的计算具和计算资源不可能完成所要求的计算量，称之为在计算上是安全的。如果能够证明破译某个体制的困难性等价于解决某个数学难题，称为是可证明安全的。比如：RSA数字签名体制。

有保密功能的认证系统与无保密功能的认证系统 u 有保密功能的认证系统能够同时提供认证和保密两种功能，一般采用多种加密技术，而且也涉及多种密钥。 u 无保密功能的认证系统只是纯粹的认证系统，不提供数据加密传输功能。

有仲裁人认证系统与无仲裁人认证系统 n n 常常遇到的情形是通信双方并不互相信任。比如，发送方发送了一个消息后，否认曾发送过该消息；或者接收方接收到发送方发送的消息后，否认曾接收到该消息或宣称接收到了自己伪造的不同于接收到的消息的另一个消息。一旦这种情况发生，就需要一个仲裁方来解决争端。这就是有仲裁人认证系统的含义。有仲裁人认证系统又可分为单个仲裁人认证系统和多仲裁人认证系统。

常见的身份认证技术 n n n 1．基于口令的认证技术 2. 双因子身份认证技术 3. 生物特征认证技术

1. 基于口令的认证技术 u u 较早的认证技术主要采用基于口令的认证方法。 PAP(Password Authentication Protocol)认证： n n n u 被认证对象提交口令信息认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。 PAP协议仅在连接建立阶段进行，在数据传输阶段不进行 PAP认证。这种认证方法的优点在于： n n 一般的系统如Unix、Windows NT、Net. Ware等都提供了对口令认证的支持适用于对于封闭的小型系统。

基于口令的认证方法的不足 ① 以明文方式输入口令，很容易被内存中运行的黑客软件记录下来而泄密； ② 口令在传输过程中可能被截获； ③ 窃取口令者可以使用字典穷举口令或者直接猜测口令； ④ 攻击者可以利用服务系统中存在的漏洞获取用户口令； ⑤ 口令的发放和修改过程都涉及到很多安全性问题； ⑥ 低安全级别系统口令很容易被攻击者获得，从而用来对高安全级别系统进行攻击； ⑦ 只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。

2. 双因子身份认证技术 u u 现在较为先进的身份认证系统都溶入了双因子等先进技术，即用户知道什么和用户拥有什么。双因子认证(two-factor authentication) u u 一个因子：只有用户本身知道的密码，它可以是个默记的个人认证号(PIN)或口令；另一个因子：只有该用户拥有的外部物理实体—智能安全存储介质。

双因子身份认证技术优点 u u 存储的信息无法复制。具有双重口令保护机制和完备的文件系统管理功能。另外，某些智能安全存储介质还允许设置PIN猜测的最大值，以防止口令攻击。如果使用USB Token作为信息载体，则无须专门的读卡器，使用简单方便，而且非常轻巧，容易携带。双因子认证比基于口令的认证方法增加了一个认证要素，攻击者仅仅获取了用户口令或者仅仅拿到了用户的令牌访问设备，都无法通过系统的认证。因此，这种方法比基于口令的认证方法具有更好的安全性。

3. 生物特征认证技术 u u 传统的身份鉴别方法是将身份认证问题转化为鉴别一些标识个人身份的事物，如“用户名＋口令”，如果在身份认证中加入生物特征的鉴别技术作为第三道认证因子，则形成了三因子认证。特征： n n 以人体惟一的、可靠的、稳定的生物特征为依据；采用计算机的强大功能和网络技术进行图像处理和模式识别，具有更好的安全性、可靠性和有效性。

用于身份认证的生物识别技术（1）手写签名识别技术（2）指纹识别技术（3）语音识别技术（4）视网膜图样识别技术（5）虹膜图样识别技术（6）脸型识别

生物特征认证系统结构图

3. 4 认证的具体实现 n n 1. 使用验证者与共同知道的信息方式：用户与口令方式 n n n 用户名与口令是最简单的认证方式明文口令是最简洁的数据传输，保护口令不被泄密可以在用户和认证系统之间进行加密。

用户名与口令的认证实现方式认证数据库通常情况下不会直接存放用户的口令，可以存放口令的 hash值或是加密值。

口令数据库的加密存储 • 用户：将口令使用认证系统的公钥加密后传输给认证系统 • 认证系统：对加密数据解密后得到口令，对此数据做hash（或是加密） • 将这一结果与数据库中的值做比较，若数据匹配，则是合法用户，否则不是。

挑战/应答式（质询/响应式）口令 n 挑战/应答式（质询/响应式）口令 u u u 是目前口令认证机制的基础。其原理适用于：令牌与智能卡的认证。认证一个用户===证明这个用户拥有某个私钥 u认证者使用用户的公钥进行解密，然后比较解密结果是否等于随机数字。

口令认证机制存在的弊端 n n （1）口令的更新（2）口令的记忆（3）口令的概率分布人们使用的口令并非均匀随机地分布在可能的密钥空间。多数人出于方便的考虑，类似于A 6 KX 853 H这样随机、安全的密码总是很难进入到我们的数字生活中。

口令认证机制存在的弊端 n 假设非法者能够破译系统或是通过其他途径获得口令数据库，虽然口令数据库是口令的hash值，不能够逆向计算求得。 n 但Mallory完全可以利用现有的口令字典计算那些现有口令的hash值，然后对二者进行比较，从而找到合适的匹配值。

抵抗字典式攻击的办法 u 在口令的后面添加由计算机产生的随机字符串，记为salt，然后把计算得到的 hash值和salt值同时存储到数据中。 u 如果随机数字salt取的符合一定要求，比如随机性能、长度等，能在一定程度上限制上述攻击。

利用认证者所具有的物品进行认证 n 利用硬件实现的认证方式安全令牌 u 智能卡 u

安全令牌利用认证者所具有的物品进行认证 u 安全令牌：安全性要求较高的场合使用硬件来实现认证。 u 安全令牌：每隔固定间隔产生一个脉冲序列的同步序列发生器。 u 示例：比如在一个有严格安全等级的实验室，当用户User. A使用控制器的时候，需要系统对他的使用行为进行认证 u 对每个用户配置一个令牌。 p 每隔一个固定的时间间隔，认证系统都和用户所携带的令牌进行认证当用户离开（或是其他用户）的时候，认证系统就自动把访问控制禁止，这样就会避免敏感信息的泄漏。 p （User. A暂时离开、等级不同的用户） p

概念解释-令牌 u 令牌：为每一次认证产生不同的认证值的小型电子设备，其易于携带。 u 认证令牌的实现有两种具体的方式时间令牌 p 挑战/应答式令牌。 p

概念解释—时间令牌 n 时间令牌 p p 令牌和认证服务器共同拥有一个相同的随机种子。认证时：双方将当前时间和随机种子做加密或是hash 运算。比较：然后有认证服务器对这一结果进行校验比较。时间令牌的实现非常复杂，原因在于要对时间进行校验，必须保证令牌与认证服务器的时间同步。

概念解释—挑战应答令牌 n 挑战应答令牌认证系统：产生一个随机数。 p 令牌和认证系统：使用同样的密钥对这个数字进行加密或是hash变换。 p 校验：然后进行校验。 p

智能卡 n u u u 智能卡卡中存储有用户的私钥、登录信息和用于不同目的公钥证书，如数字签名证书和数据加密证书等。提供抗修改能力，用于保护其中的用户证书和私钥。智能卡提供了一种非常安全的方式以进行用户认证、交互式登录、代码签名和安全e-mail传送等。

智能卡比口令认证具有更高的安全性 n 智能卡方式下需要使用物理对象来认证用户 u u 智能卡的使用必须提供一个个人标识号PIN（Personal Identification Number），这样可以保证只有经过授权的人才能使用该智能卡。双要素认证：智能卡通过要求用户提供。物理对象（卡）、卡使用信息（如卡的PIN）。增强纯软件认证方案的安全性。

说明 n 缺点：硬件器件本身有可能丢失 n 改进：一般通过口令对其加以保护。

双向认证单向认证，默认通信方A对B的检验。 u 在通信中，需要确定和你进行通信对话的人是Alice而不是Bob，有必要也对对方进行验证，双方互相进行验证的这种方式我们称为双向认证。 u

3. 5 公钥基础设施 u u PKI（Public Key Infrastructure, 公钥基础设施）采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施 PKI技术采用证书管理公钥，通过第三方的可信任机构——认证中心（Certificate Authority, CA）——把用户的公钥和用户的标识信息捆绑在一起，在Internet上验证用户的身份，提供安全可靠的信息处理。采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。

3. 5 公钥基础设施 u u u PKI所提供的安全服务以一种对用户完全透明的方式完成所有与安全相关的作，极大地简化了终端用户使用设备和应用程序的方式。 PKI技术可以让人们随时随地方便地同任何人秘密通信。 PKI技术是开放、快速变化的社会信息交换的必然要求，是电子商务、电子政务及远程教育正常开展的基础。

3. 5 公钥基础设施 u u PKI技术是公开密钥密码学完整的、标准化的、成熟的程框架。按照软件程的方法，采用成熟的各种算法和协议，遵循国际标准和RFC文档，如PKCS、SSL、X. 509、 LDAP，完整地提供网络和信息系统安全的解决方案。 RFC(Request For Comments)-意即“请求注解”，包含了关Internet的几乎所有重要的文字资料。 RFC每一篇都用一个数字来标识，如RFC 2401 ，数字越大说明RFC 的内容越新。

X. 509数字证书 n u u 基本概念证书：证明实体所声明的身份和其公钥绑定关系的一种电子文档。是将公钥和确定属于它的某些信息（比如该密钥对持有者的姓名、电子邮件或者密钥对的有效期等信息）相绑定的数字申明。数字证书由CA认证机构颁发。认证中心所颁发的数字证书均遵循X. 509 V 3标准。数字证书的格式：在ITU标准（国际电信联盟远程通信标准化组）和X. 509 V 3(RFC 2459)里定义。

X. 509数字证书 X. 509证书的结构如图所示，其中证书和基本信息采用X. 500的可辨别名DN来标记，它是一个复合域，通过一个子组件来定义。 X. 500是一个将局部名录服务连接起来，构成全球分布式的名录服务系统的协议。X. 500组织起来的数据就象一个很全的电话号码簿，或者说一个 X. 500系统象是一个分门别类的图书馆；而某一机构建立和维护的名录数据库只是全球名录数据库的一部分。

X. 509数字证书 u 版本号：影响证书中包含的信息的类型和格式，目前版本 4已颁布，但在实际使用过程版本 3还是占据主流。 u 序列号：赋予证书的唯一整数值。它用于将本证书与同一CA颁发的其他证书区别开来。 u 签名算法标识：该域中含有CA签发证书所使用的数字签名算法的算法标识符，如SHA 1 With. RSA。有CA的签名，便可保证证书拥有者身份的真实性，而且CA也不能否认其签名。 u 颁发者X 500名称：签发证书实体的唯一名称（DN），命名必须符合X. 500格式，通常为某个CA。

X. 509数字证书 u u u u 证书有效期：证书仅仅在一个有限的时间段内有效。证书的有效期就是该证书的有效的时间段，该域表示两个序列：证书的有效开始日期（not. Before）、结束的日期（not. After）。证书持有者X 500名称：必选项，证书拥有者的可识别名称，命名规则也采用X. 500格式。证书持有者公钥：主体的公钥和它的算法标识符，这一项是必选的。证书颁发者唯一标识号：这是一个可选域。它含有颁发者的唯一标识符。证书持有者唯一标识号：证书拥有者的唯一标识符，也是可选项。证书扩展部份：证书扩展部份是V 3版本在RFC 2459中定义的。可供选择的标准和扩展包括：证书颁发者的密钥标识、证书持有者密钥标识符、公钥用途、CRL发布点、证书策略、证书持有者别名、证书颁发者别名和主体目录属性等。

证书撤销列表 n 原因：密钥泄密、从属变更、证书终止使用以及CA本身私钥泄密，需要对原来签发的证书进行撤销。 n n 方法：（X. 509定义了证书的基本撤销方法）：由CA周期性的发布一个证书撤销列表 CRL(Certificate Revocation List) ，里面列出了所有未到期却被撤销的证书，终端实体通过LDAP的方式下载查询CRL。

CRL格式

证书撤销列表 Ø Ø Ø 告知用户：CA将某个证书撤销后，应使用户及时地获知最新的情况，这对于维护PKI系统的可信性至关重要。如何发布CRL的机制：是PKI系统中的一个重要问题。发布CRL的机制主要有： n n 定期发布CRL的模式分时分段的CRL的模式 Delta-CRL的发布模式

PKI系统的功能 n PKI系统对数字证书的操作通常包括： n n n 证书颁发证书更新证书废除证书和CRL的公布证书状态的在线查询证书认证等

PKI系统的功能 n (1) 证书颁发 n n (2) 证书更新 u n n n 申请者在CA的注册机构（RA）进行注册，申请证书。CA对申请者进行审核，审核通过则生成证书，颁发给申请者。更新包括：证书的更换和证书的延期。证书的更换：重新颁发证书，与证书的申请流程基本情况一致。证书的延期：将证书有效期延长，其签名和加密信息的公私密钥没有改变。 (3) 证书废除 n n 本人：证书持有者可以向CA申请废除证书。CA通过认证核实，即可履行废除证书职责，通知有关组织和个人，并写入黑名单CRL。他人：有些人（如证书持有者的上级或老板）也可申请废除证书持有者的证书。

PKI系统的功能 n (4) 证书和CRL的公布 n n CA通过LDAP（Lightweight Directory Acess Protocol）服务器维护用户证书和黑名单（CRL）。它向用户提供目录浏览服务，负责将新签发的证书或废除的证书加入到 LDAP服务器上。用户通过访问LDAP服务器能：得到他人的数字证书，访问黑名单。 (5) 证书状态的在线查询 n n n 通常CRL签发为一日一次，CRL的状态同当前证书状态有一定的滞后；证书状态的在线查询向OCSP（Online Certificate Status Protocol）服务器发送OCSP查询包，包含：待验证证书的序列号，验证时戳。 OCSP服务器：返回证书的当前状态，返回结果加以签名。在线证书状态查询比CRL更具有时效性。

PKI系统的功能 n (6) 证书认证 n 在进行网上交易双方的身份认证时 n n 交易双方互相提供自己的证书和数字签名 CA来对证书进行有效性和真实性的认证。一个CA很难得到所有用户的信任并接受它所发行的所有公钥用户的证书；很难对有关的所有潜在注册用户有足够全面的了解。多个CA系统： n n n 在多个CA系统中，令由特定CA发放证书的所有用户组成一个域。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信，需要解决跨域的公钥安全认证和递送。建立一个可信任的证书链或证书通路。高层CA称做根CA，它向低层CA发放公钥证书。

PKI系统的组成 PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台。目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。 n PKI主要包括四个部份： u u X. 509格式的证书和证书撤销列表CRL； CA/RA操作协议； CA管理协议； CA政策制定。

PKI系统的组成 n u 一个典型、完整、有效的PKI应用系统至少包括以下部份：认证机构（CA，Certificate Authority）： n n n u 证书的签发机构，它是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。认证机构是一个实体，它有权利签发、撤销证书，对证书的真实性负责。在整个系统中，CA由比它高一级的CA控制。根CA（Root CA）： n 信任是任何认证系统的关键，CA自己也要被另一些CA认证。 n 每一个PKI都有一个单独的、可信任的根，从根处可取得所有认证证明。

PKI系统的组成 u 注册机构（RA，Registration Authority）： n n 证书的分发与签名过程的分开： n n u 用途：接受个人申请，核查其中信息并颁发证书。签名过程：离线完成，需要使用CA的签名私钥（私钥只有在离线状态下才能安全使用）分发过程：在线完成。证书目录： n n 用户把证书存放在共享目录中，而不需要在本地硬盘里保存证书。因为证书具有自我核实功能，所以这些目录不一定需要时刻被验证。万一目录被破坏，通过使用CA的证书链功能，证书还能恢复其有效性。

PKI系统的组成 u 管理协议： u 用于管理证书的注册、生效、发布和撤销。PKI管理协议包括： u u u 操作协议： u u 证书管理协议（PKIX CMP，Certificate Management Protocol）；信息格式，如证书管理信息格式（CMMF，Certificate Management Message Format）； PKCS#10。操作协议允许用户找回并修改证书，对目录或其他用户的证书撤销列表CRL 进行修改。在大多数情况下，操作协议与现有协议（如FTP、HTTP、LDAP 和邮件协议等）共同作。个人安全环境： n 在这个环境下，用户个人的私人信息（如私钥或协议使用的缓存）被妥善保存和保护。一个实体的私钥对于所有公钥而言是保密的。

基于PKI的服务 n n PKI作为安全基础设施，提供常用PKI功能的可复用函数，为不同的用户实体提供多种安全服务。分为核心服务和支撑服务。

核心服务 u 认证：认证即为身份识别与鉴别，即确认实体是其所申明的实体，鉴别其身份的真伪。鉴别有两种： n n u 完整性：完整性就是确认数据没有被修改：传输、存储过程。 n u 其一是实体鉴别，实体身份通过认证后，可获得某些操作或通信的权限；其二是数据来源鉴别，它是鉴定某个指定的数据是否来源于某个特定的实体。采用数据签名技术，既可以提供实体认证，也可以保证被签名数据的完整性。完整性服务也可以采用消息认证码，即报文校验码MAC。保密性：确保数据的秘密。PKI的机密性服务是一个框架结构，通过它可以完成算法协商和密钥交换，而且对参与通信的实体是完全透明的。

支撑服务 u 不可否认性服务：保证实体对它们的行为的诚实性。最受关注的是对数据来源的不可否认。 n 用户不能否认敏感消息或文件不是来源于它； n 接收后的不可否认性，即用户不能否认它已接收到了敏感信息或文件。传输的不可否认性、创建的不可否认性以及同意的不可否认性等。 n u 安全时间戳服务：用来证明一组数据在某个特定时间是否存在，它使用核心PKI服务中的认证和完整性。 n u 一份文档上的时间戳涉及到：对时间和文档的Hash值的数字签名，权威的签名提供了数据的真实性和完整性。公证服务：CA机构中的公证人证明数据是有效的或正确的，而“ 正确的”取决于数据被验证的方式。

PKI的应用 n PKI支持SSL、IP over VPN、S/MIME等协议，这使得PKI支持加密Web、VPN、安全邮件等应用。 Ø Ø 支持不同CA间的交叉认证，并能实现证书、密钥对的自动更换，这扩展了它的应用范畴。 PKI的特性融入各种应用（如防火墙、浏览器、电子邮件、群件、网络操作系统）也正在成为趋势。基于PKI技术的IPSec协议，成为架构VPN 的基础。它可以为路由器之间、防火墙之间，或者路由器和防火墙之间提供经过加密和认证的通信。 PKI的市场需求非常巨大，基于PKI的应用包括了许多内容，如WWW安全、电子邮件安全、电子数据交换、信用卡交易安全、VPN。从行业应用看，电子商务、电子政务等方面都离不开PKI技术。

第三章 信息认证技术 第三章 信息认证技术 n n n

第三章信息认证技术第三章信息认证技术 n n n